NIST-PRIVACY-FRAMEWORK-PRELIMINARY-DRAFT-201909.pdf


该文件由美国国家标准与技术研究院(NIST)和美国商务部共同发布,发布时间为2019年9月6日。原文名称:NIST PRIVACY FRAMEWORK: A TOOL FOR IMPROVING PRIVACY THROUGH ENTERPRISE RISK MANAGEMENT(Preliminary draft)。

1.0 《隐私框架》介绍

在过去的二十多年间,互联网和相关信息技术驱动了前所未有的创新,创造了经济价值,让社会服务更为便利。这些为人类带来的益处大多源自个人数据,此类数据通过复杂的生态系统传输,这个系统是如此复杂以至于个人很难认识到与系统/产品/服务的交互可能会对自己的隐私造成什么样的后果。。即使是组织也未必能充分意识到这种后果。对隐私风险放任不管会对个人和社会直接造成不利影响,后续会持续影响组织的声誉、收入和未来的增长预期。在利用数据的同时保护个人隐私,这个任务颇具挑战,没有一刀切的解决方案。
之所以说隐私保护具有挑战性,是因为:
(1)隐私保护是个含义宽泛的概念,旨在帮助维护诸如人的自主权和尊严之类的重要价值观;
(2)隐私保护实现方式各有不同,例如,可以通过隔离、限制查看或个人控制其身份相关信息(身体、数据、信誉等)来实现隐私。此外,人的自主权和尊严并非是一成不变、可量化的概念,而是经过文化多样性和个体差异的过滤。隐私的这种宽泛、易变的性质让组织内部、组织之间以及组织和个人之间很难明确传达隐私风险,原因是缺少了通用语言和可满足各种隐私需求的灵活的实用工具。
国家标准与技术研究院(NIST)的自愿性《NIST隐私框架:通过企业风险管理促进隐私保护》(《隐私框架》)帮助组织从如下方面着手管理隐私风险:

  • 在设计和部署影响到个人的系统/产品/服务时考虑隐私;
  • 将隐私实践融入到业务流程中,从而产生有效的解决方案,减轻负面影响;以及
  • 宣讲这些隐私实践。

隐私框架适用于各种规模的组织,不局限于特定的技术、行业、法律或司法管辖区域。

  • 组织中的各类人员,包括高管、法务和信息技术(IT)人员,所负责的结果和活动或有不同。
  • 鼓励跨组织协作,共同制作实施一览表,达成结果。
  • 任何组织或实体都可以使用隐私框架,无论其在数据处理生态系统(参与创建或部署系统/产品/服务的实体之间的复杂互联的关系)中担当什么角色。

    1.1 隐私框架概述

    如图1所示,隐私框架由三部分组成:核心、实施一览表和实现层级。各组件将业务/任务驱动因素和隐私保护活动关联起来,以此加强隐私风险管理。如第2章所述:

  • 核心指一系列的隐私保护活动和结果,通过这个组件,可在整个组织范围内(从管理层到执行/运营层)将划分好优先级的隐私保护活动和结果进行扩散。该组件有五大功能:识别-P、治理-P、控制-P、沟通-P和防护-P(注:“-P”表示来自隐私框架,以免与网络安全框架功能混淆。)。前四种功能可用于管理数据处理中的隐私风险,而防护-P可用于管理与隐私泄露相关的隐私风险。防护-P并非管理与隐私泄露相关的隐私风险的唯一方法。例如,组织可以将网络安全框架功能与隐私框架结合使用,同时解决隐私和网络安全风险。核心组件的每项功能细分为关键大类和子类,描述的是互无关联的各种结果。

  • 实施一览表涵盖组织当前的隐私保护活动或期望的结果。要制作实施一览表,组织须审视所有的功能、大类和子类,基于业务/任务驱动因素、数据处理类型以及个人的隐私需求,确定其中最需要关注的事项。组织可根据需要创建或添加功能、大类和子类。通过将“当前” 实施一览表(即现状)与“目标” 实施一览表(即未来状况)进行比较,组织可识别机会,改善隐私状况。实施一览表适用于自查以及组织内部或组织之间就当前隐私风险管理方法进行沟通。
  • 实现层级为组织评估隐私风险以及组织的流程和资源是否足以管理隐私风险提供参考依据。这些层级反映了由非正式的被动回应到虑及风险的敏捷方法的递进转变。在选择层级时,组织应考虑目标实施一览表及其与当前风险管理措施之间的关系、数据处理系统/产品/服务、法律法规要求、业务/任务目标、组织的隐私价值和个人的隐私需求以及组织的约束因素。

美国·NIST隐私框架 - 图1
图1:核心、实施一览表和实现层级

1.2 隐私风险管理

尽管某些组织对隐私风险管理有透彻理解,但这一领域的许多方面尚未达成普遍共识。为促进更多组织达成共识,本节介绍了组织可用于开发、改进或沟通隐私风险管理的概念和注意事项。有关关键隐私风险管理实践的更多信息,参见附录D。

1.2.1 网络安全与隐私风险管理

自2014年发布以来,《网络安全框架》为多个组织沟通和管理网络安全风险提供了参考。尽管管理网络安全风险有助于管理隐私风险,但这还不够,因为隐私风险或会超出网络安全风险范围。网络安全和隐私风险之间的重叠与差异,见图2。
美国·NIST隐私框架 - 图2
图2:网络安全与隐私风险之间的关系
NIST的隐私风险处理方法考虑的是从数据搜集到处理的整个生命周期中,个人可能因系统/产品/服务运营而遭遇的潜在数据问题,无论是数字还是非数字形式的数据。隐私框架中,这些数据操作统称为数据处理,若用单数表示,则指某一数据操作。个人在数据处理中遇到的问题有多种分类方法,NIST按影响将其划分为几类,轻则影响尊严(如令人难堪或败坏名声),重则造成更明显的危害(如歧视、经济损失或人身伤害)。组织为实现其任务/业务目标进行数据处理时可能会导致意外问题。例如,国家为提高能源效率进行全国性的技术改造,部署智能电网,其中涉及智能电表,而某些人群对智能电表的安装表示担忧,因为这些电表会搜集、记录和传送精确的家庭用电信息,让他人窥探自己在家中的行为。电表使用是计划中的事,但人们感到被监视却是数据处理所导致的意外后果。
数据操作
在系统/产品/服务的整个数据生命周期内进行的操作,包括但不限于搜集、保留、记录、生成、转换、使用、公开、共享、传输和处置。
数据处理一系列数据操作的集合。
当然,这些问题还有可能源自于隐私泄露,原因是在数据处理的某个环节破坏了机密性、完整性或可用性,如外部攻击者窃取数据或员工越权访问或使用数据。如图2所示,破坏机密性、完整性或可用性和为完成任务/业务目标进行数据处理所带来的意外后果中均存在隐私泄露风险。
若能确定数据处理引起特定问题(《隐私框架》将其称为可疑数据操作)的概率,组织就可以评估此类操作的影响。影响评估在隐私风险和组织风险管理中均会涉及。个人—无论是单独一人还是身处集体(包括社会层级)之中—都会直观感受到这些问题的影响。个人遇到问题时,组织可能会受到波及,承受诸如违规成本、产品/服务客户流失或外部品牌声誉/内部文化损害等方面的影响。对于组织的这些影响会促使人们就资源分配做出明智决策,改进隐私计划,将隐私风险与所管理的企业级风险视为同等重要的大事。隐私风险和组织风险之间的这种关系如图3所示。
美国·NIST隐私框架 - 图3
图3:隐私风险与组织风险之间的关系

1.2.2 隐私风险管理与风险管理之间的关系

隐私风险管理涉及一系列跨组织流程,让组织了解其系统/产品/服务为个人带来的问题以及如何开发有效的解决方案来管理此类风险。隐私风险评估是其中的一个子流程,用于识别、评估、响应特定的隐私风险并为其划分优先级。总体而言,隐私风险评估所产出的信息应能帮助组织平衡数据处理带来的好处与风险,并确定适当的应对措施(有关隐私风险评估操作方面的更多信息,详见附录D)。组织可根据对个人的潜在影响以及对组织的附带影响选择不同的方法应对隐私风险。具体方法如下:

  • 缓解风险(例如,组织可对系统/产品/服务采取技术和/或政策措施,将风险降低到可接受的程度);
  • 转移或分担风险(例如,可利用合同将风险分担或转移给其他组织,利用隐私声明和同意机制将风险转嫁给个人);
  • 规避风险(例如,组织在确定风险大于收益时可选择放弃或终止数据处理);或
  • 接受风险(例如,组织认为问题对个人有微弱或没有影响,因而确定收益大于风险,因此无需投入资源进行防护)。

隐私风险评估尤为重要。如上所述,隐私是维护多项价值的条件。维护方法会有所不同,彼此之间可能互相制约。例如,若组织试图通过限制查看来保护隐私,则可能会实施诸如分布式数据架构或增强隐私的加密技术之类的措施,这些措施甚至会对组织隐匿数据。若组织还想进行个人控制,则这些措施可能会发生冲突。例如,若某人请求访问某组织的数据,而该数据的传输或加密方式限制该组织访问,则无法输出所请求的数据。隐私风险评估有助于组织了解特定背景下要保护的价值、采用的方法以及平衡各种措施的实施方式。
最后,借助于隐私风险评估,组织可将隐私风险与合规风险区分开来。即使组织完全遵守了适用法律法规,在为系统/产品/服务设计或部署进行道德决策时,也要事先确定数据处理是否会给个人带来问题。这有助于促进数据的有益使用,同时最大程度地降低对个人隐私和整个社会的不利影响,并避免因信任受损而破坏组织的声誉、让客户推迟采用或放弃产品/服务。

2.0 隐私框架基本要素

隐私框架提供通用语言,方便内外部利益相关者理解、管理、沟通隐私风险。它用以确定哪些活动可降低隐私风险并为这些活动定义优先级,还可调整风险管理的政策、业务和技术方法。不同类型的实体(包括特定行业组织)可将隐私框架用于不同目的,包括制作通用实施一览表。

2.1 核心

核心提供了细粒度的活动和结果,组织内部可基于此沟通隐私风险管理相关事宜。该组件包含三个要素:功能、大类、子类,如图4所示。
美国·NIST隐私框架 - 图4
图4:隐私框架核心结构
核心组件各元素协同工作:

  • 功能是对基本隐私活动的最粗略分类,有助于组织了解并管理数据处理,描述隐私风险管理,进而推动隐私管理决策,确定如何与个人互动,并且吸取过去的经验教训,吃一堑,长一智。核心组件有五大功能:识别-P、治理-P、控制-P、沟通-P和防护-P。前四种功能可用于管理数据处理中的隐私风险,防护-P用于管理与隐私泄露相关的隐私风险。防护-P并非管理与隐私泄露相关的隐私风险的唯一方法。例如,组织可以将网络安全框架功能与隐私框架结合使用,同时解决隐私和网络安全风险。
  • 大类是对功能的细分,一个功能会被分为多个隐私结果组(即大类),与计划需求和特定活动密切相关,例如,“隔离处理”、“编目与绘图”、“风险评估”等。

大类进一步细分为子类,描述具体的技术及/或管理活动结果。这些结果虽然并非巨细无遗,却可支撑各大类结果的实现。例如,“将数据处理系统/产品/服务进行编目”、“对数据进行处理以限制个人标识(例如,各种隐私技术、令牌化)”和“将数据更改或删除告知数据处理生态系统中的个人或组织(例如,数据源)”都是子类。
五大功能(定义如下)并不需要按序执行,目的也非为达到某一静态的最终状态。实际上,这些功能应同时进行且长期持续,形成有效机制以应对动态的隐私风险。完整的核心组件信息,参见附录A。

  • 识别-P – 在全组织范围内达成共识,管理数据处理中的个人隐私风险。

识别-P功能下的活动为有效利用隐私框架奠定了基础。通过记录数据处理环境、了解组织直接或间接服务或影响的个人的隐私利益以及进行风险评估,组织能够认清其所处的业务环境,识别隐私风险并确定优先级。该功能的大类包括“编目与绘图”、“业务环境”、“风险评估”等。

  • 治理-P – 构造并实施组织治理架构,时刻了解组织基于隐私风险确定的风险管理重点事项。

治理-P类似于基础功能,但更侧重于组织级别的活动,例如建立组织范围内的隐私价值和政策、确定法律/法规要求以及了解组织的风险承受能力,使组织能够集中精力,根据风险管理战略和业务需求确定工作重点。该功能的大类包括“治理政策、流程和程序”、“风险管理战略”、“监控和评审”等。

  • 控制-P – 合理规划并展开活动,帮助组织或个人以足够细的粒度来管理数据,进而管理隐私风险。

控制-P功能从组织和个人的角度考虑数据管理。该功能的大类包括“数据管理政策、流程和程序”和“数据管理”等。

  • 沟通-P – 合理规划并展开相应活动,夯实组织和个人对数据处理方式和相关隐私风险的理解。

沟通-P功能表明,要有效管理隐私风险,组织和个人均须了解数据的处理方式。该功能的大类包括“沟通政策、流程和程序”和“数据处理安全意识”等。

  • 防护-P – 制定并实施合理的数据处理防护措施。

防护-P功能涉及数据保护以防止隐私泄露,这是隐私和网络安全风险管理的共同关注之处。该功能的大类包括“身份管理、认证与访问控制”、“数据安全”、“防护技术”等。

2.2 实施一览表

实施一览表提供了从核心组件中提取的、组织认为在管理隐私风险时须重点考虑的特定功能、大类和子类。它将功能、大类、子类与业务需求、风险承受能力、隐私价值和组织资源对齐。根据隐私框架所提出的基于风险的方法,组织并不一定需要实现核心组件所囊括的所有结果或活动。在制作实施一览表时,组织可根据具体需求选择或调整隐私框架的功能、大类和子类。此外,组织或行业还可以根据本组织或行业的特有风险,开发自己的功能、大类和子类。在确定自己的需求时,组织要考虑本组织或行业的目标、法律/法规要求和行业最佳实践、组织的重点风险管理事项以及组织的系统/产品/服务直接或间接服务或影响的个人的需求。
实施一览表用于描述特定隐私活动的当前状态或期望状态。如图5所示,当前实施一览表表示组织当前正在实现的隐私结果,而目标实施一览表表示期望实现的隐私风险管理目标结果。通过两者之间的差异,组织能够识别差距,制定改进行动方案并评估实现隐私目标所需的资源(例如人员配置、资金等)。组织基于此制定计划,经济有效地降低隐私风险,并为这些风险确定优先级。实施一览表还可以让组织了解和比较隐私结果的当前或期望状态,在组织内部和组织之间进行风险交流。
考虑到实现上的灵活性,隐私框架没有提供实施一览表模板。组织可针对不同的部门、系统/产品/服务或人员类别(例如员工、客户等)采用不同的实施一览表。
美国·NIST隐私框架 - 图5
图5:实施一览表开发流程

2.3 实现层级

根据组织的系统/产品/服务引起的隐私风险的性质以及组织为管理此类风险而使用的流程和资源的充足性,决定实现层级,为组织的隐私风险管理提供决策支撑。在确定层级时,组织应考虑自己的当前风险管理实践、数据处理系统/产品/服务、法律法规要求、业务/任务目标、组织的隐私价值和个人的隐私需求以及组织的约束因素。
隐私框架确定了四个不同层级:局部(1级)、有风险意识(2级)、可复用(3级)和自适应(4级)。组织若被标识为1级,应考虑向2级发展。尽管如此,层级并不代表成熟程度,某些组织可能永远也不需要达到3级或4级,或者仅需要关注这些级别的几个特定领域。当组织在其当前层级上的流程或资源不足以管理隐私风险时,应向更高层级发展。
在与利益相关者沟通时,组织可以用层级来说明资源和流程是否足以实现其目标实施一览表。组织应根据级别来确定目标实施一览表中各元素的优先级并评估差距弥补工作的进展。层级定义,见附录E。